-- 會員 / 註冊 --  
 帳號:
 密碼:
  | 註冊 | 忘記密碼
3/26 新書到! 3/19 新書到! 3/14 新書到! 12/12 新書到!
購書流程Q & A站務留言版客服信箱
3ds MaxMayaRhinoAfter EffectsSketchUpZBrushPainterUnity
PhotoShopAutoCadMasterCamSolidWorksCreoUGRevitNuke
C#CC++Java遊戲程式Linux嵌入式PLCFPGAMatlab
駭客資料庫搜索引擎影像處理FluentVR+ARANSYS深度學習
單晶片AVROpenGLArduinoRaspberry Pi電路設計CadenceProtel
HadoopPythonStm32CortexLabview手機程式AndroidiPhone
可查書名,作者,ISBN,3dwoo書號
詳細書籍分類

代碼審計:企業級Web代碼安全架構

( 簡體 字)
作者:尹毅類別:1. -> 安全 -> 網路安全 -> 駭客攻擊與入侵
譯者:
出版社:機械工業出版社代碼審計:企業級Web代碼安全架構 3dWoo書號: 43013
詢問書籍請說出此書號!

缺書
NT售價: 295

出版日:12/1/2015
頁數:229
光碟數:0
站長推薦:
印刷:黑白印刷語系: ( 簡體 版 )
加入購物車 加到我的最愛
(請先登入會員)
ISBN:9787111520061
作者序 | 譯者序 | 前言 | 內容簡介 | 目錄 | 
(簡體書上所述之下載連結耗時費功, 恕不適用在台灣, 若讀者需要請自行嘗試, 恕不保證)
作者序:

譯者序:

前言:

內容簡介:

本書詳細介紹代碼審計的設計思路以及所需要的工具和方法,不僅用大量案例介紹了實用方法,而且剖析了各種代碼安全問題的成因與預防策略。對開發人員和安全技術人員都有參考價值。本書共分為三個部分,第一部分為代碼審計前的準備,詳細介紹代碼審計前需要了解的PHP核心配置文件、PHP環境搭建的方法、代碼審計需要的工具,以及這些工具的詳細使用方法。第二部分著重介紹PHP代碼審計的中漏洞挖掘思路與防范方法,包括代碼審計的思路、常見漏洞的審計方法、二次漏洞的挖掘方法、代碼審計過程中的一些常用技巧。第三部分主要介紹PHP安全編程規范,從攻擊者的角度來告訴你應該怎么寫出更安全的代碼,包括參數的安全過濾、PHP中常用的加密算法、常見功能通常會出現的安全問題、企業的應用安全體系建設等。


目錄:

序言
前言
導讀
第一部分 代碼審計前的準備
第1章代碼審計環境搭建2
1.1 wamp/wnmp環境搭建2
1.2 lamp/lnmp環境搭建4
1.3 PHP核心配置詳解6
第2章審計輔助與漏洞驗證工具14
2.1 代碼編輯器14
2.1.1 Notepad++15
2.1.2 UltraEdit15
2.1.3 Zend Studio19
2.2 代碼審計工具21
2.2.1 Seay源代碼審計系統21
2.2.2 Fortify SCA24
2.2.3 RIPS25
2.3 漏洞驗證輔助27
2.3.1 Burp Suite27
2.3.2 瀏覽器擴展32
2.3.3 編碼轉換及加解密工具36
2.3.4 正則調試工具38
2.3.5 SQL執行監控工具40
第二部分 漏洞發現與防范
第3章通用代碼審計思路46
3.1 敏感函數回溯參數過程46
3.2 通讀全文代碼50
3.3 根據功能點定向審計64
第4章漏洞挖掘與防范(基礎篇)68
4.1 SQL注入漏洞68
4.1.1 挖掘經驗69
4.1.2 漏洞防范74
4.2 XSS漏洞77
4.2.1 挖掘經驗77
4.2.2 漏洞防范82
4.3 CSRF漏洞83
4.3.1 挖掘經驗83
4.3.2 漏洞防范85
第5章漏洞挖掘與防范(進階篇)88
5.1 文件操作漏洞88
5.1.1 文件包含漏洞88
5.1.2 文件讀取(下載)漏洞93
5.1.3 文件上傳漏洞95
5.1.4 文件刪除漏洞99
5.1.5 文件操作漏洞防范100
5.2 代碼執行漏洞102
5.2.1 挖掘經驗102
5.2.2 漏洞防范108
5.3 命令執行漏洞108
5.3.1 挖掘經驗109
5.3.2 漏洞防范112
第6章漏洞挖掘與防范(深入篇)114
6.1 變量覆蓋漏洞114
6.1.1 挖掘經驗115
6.1.2 漏洞防范121
6.2 邏輯處理漏洞122
6.2.1 挖掘經驗122
6.2.2 漏洞防范130
6.3 會話認證漏洞131
6.3.1 挖掘經驗131
6.3.2 漏洞防范135
第7章二次漏洞審計136
7.1 什么是二次漏洞136
7.2 二次漏洞審計技巧137
7.3 dedecms二次注入漏洞分析137
第8章代碼審計小技巧142
8.1 鉆GPC等轉義的空子142
8.1.1 不受GPC保護的$_SERVER變量142
8.1.2 編碼轉換問題143
8.2 神奇的字符串146
8.2.1 字符處理函數報錯信息泄露146
8.2.2 字符串截斷148
8.3 php:// 輸入輸出流150
8.4 PHP代碼解析標簽153
8.5 fuzz漏洞發現154
8.6 不嚴謹的正則表達式156
8.7 十余種MySQL報錯注入157
8.8 Windows FindFirstFile利用161
8.9 PHP可變變量162
第三部分 PHP安全編程規范
第9章參數的安全過濾166
9.1 第三方過濾函數與類166
9.1.1 discuz SQL安全過濾類分析167
9.1.2 discuz xss標簽過濾函數分析173
9.2 內置過濾函數175
第10章 使用安全的加密算法177
10.1 對稱加密177
10.1.1 3DES加密178
10.1.2 AES加密180
10.2 非對稱加密183
10.3 單向加密185
第11章 業務功能安全設計187
11.1 驗證碼187
11.1.1 驗證碼繞過187
11.1.2 驗證碼資源濫用191
11.2 用戶登錄192
11.2.1 撞庫漏洞192
11.2.2 API登錄193
11.3 用戶注冊194
11.4 密碼找回195
11.5 資料查看與修改197
11.6 投票/積分/抽獎198
11.7 充值支付200
11.8 私信及反饋200
11.9 遠程地址訪問202
11.10 文件管理204
11.11 數據庫管理205
11.12 命令/代碼執行206
11.13 文件/數據庫備份207
11.14 API208
第12章應用安全體系建設211
12.1 用戶密碼安全策略211
12.2 前后臺用戶分表213
12.3 后臺地址隱藏215
12.4 密碼加密存儲方式216
12.5 登錄限制218
12.6 API站庫分離218
12.7 慎用第三方服務219
12.8 嚴格的權限控制220
12.9 敏感操作多因素驗證221
12.10 應用自身的安全中心223
參考資源227
序: